Konfigurieren Ihres Azure-Abonnements
Um Azure CycleCloud auszuführen, benötigen Sie ein gültiges Azure-Abonnement und Virtual Network.
Im Allgemeinen sind Azure-Mandanten- und Abonnementerstellungs- und Konfigurationsentscheidungen Geschäftsentscheidungen außerhalb des Umfangs der Azure CycleCloud-Dokumentation. Da HPC- und große Computeanwendungen im Allgemeinen ressourcenintensiv sind, empfiehlt es sich jedoch, ein dediziertes Abonnement zum Nachverfolgen der Abrechnung zu erstellen, Nutzungsbeschränkungen anzuwenden und Ressourcen- und API-Nutzung zu isolieren. Weitere Informationen zum Entwerfen Ihres Azure-Mandanten und -Abonnements finden Sie unter Azure-Abonnementverwaltung.
Konfigurieren eines virtuellen Netzwerks
Sie müssen eine vorhandene Azure Virtual Network und Subnetze auswählen oder eine neue Virtual Network erstellen, in der die CycleCloud-VM und die Computecluster ausgeführt werden, die von CycleCloud verwaltet werden.
Wenn die Virtual Network noch nicht erstellt wurde, sollten Sie die Bereitstellung der bereitgestellten CycleCloud ARM-Vorlage in Betracht ziehen. Die Vorlage "CycleCloud ARM" erstellt ein neues virtuelles Netzwerk für CycleCloud und die Computecluster zur Bereitstellungszeit. Alternativ können Sie diese Anweisungen befolgen, um eine neue Virtual Network zu erstellen.
Wenn Express Route oder VPN nicht bereits für Ihre Virtual Network konfiguriert sind, ist es möglich, eine Verbindung mit Ihrem Virtual Network über das öffentliche Internet herzustellen, es wird jedoch dringend empfohlen, eine VPN Gateway zu konfigurieren.
Konfigurieren einer Subnetz- und Netzwerksicherheitsgruppe
Da CycleCloud im Allgemeinen unterschiedliche Netzwerksicherheitsanforderungen und Zugriffsrichtlinien als die Computecluster aufweist, empfiehlt es sich häufig, Azure CycleCloud in einem anderen Azure-Subnetz aus den Clustern auszuführen.
Die empfohlene bewährte Methode besteht darin, mindestens zwei Subnetze zu verwenden – eine für die CycleCloud-VM und alle anderen VMs mit den gleichen Zugriffsrichtlinien und zusätzliche Subnetze für die Computecluster. Beachten Sie jedoch, dass der IP-Bereich des Subnetzs für große Cluster zu einem grenzwertigen Faktor werden kann. Im Allgemeinen sollte das CycleCloud-Subnetz einen kleinen CIDR-Bereich verwenden und Compute-Subnetze groß sein.
Folgen Sie den anweisungen hier, um ein oder mehrere Subnetze in Ihrem Virtual Network zu erstellen.
Verwenden mehrerer Subnetze für die Berechnung
CycleCloud-Cluster können so konfiguriert werden, dass Knoten und Knotenarrays über mehrere Subnetze ausgeführt werden, solange alle VMs innerhalb des Clusters und mit CycleCloud (vielleicht über Rückgabeproxy) kommunizieren können. Beispielsweise ist es häufig nützlich, den Schedulerknoten oder Sendeknoten in einem Subnetz mit unterschiedlichen Sicherheitsregeln von den Ausführungsknoten zu starten. Die Standardclustertypen in CycleCloud gehen von einem einzelnen Subnetz für den gesamten Cluster aus, das Subnetz kann jedoch pro Knoten oder Knotenarray mithilfe des SubnetId Attributs in der Knotenvorlage konfiguriert werden.
Die standardmäßige hostdateibasierte Hostnamenauflösung, die auf CycleCloud-Cluster angewendet wird, generiert jedoch standardmäßig nur eine Hosts-Datei für das Subnetz des Knotens. Wenn Sie also einen Cluster erstellen, der mehrere Subnetze umfasst, muss die Hostnamenauflösung auch für den Cluster angepasst werden.
Es sind 2 grundlegende Clustervorlagenänderungen erforderlich, um mehrere Compute-Subnetze zu unterstützen:
- Legen Sie das
SubnetIdAttribut für jeden Knoten oder Knotenarray fest, der sich nicht im Standard-Subnetz für den Cluster befindet. - Konfigurieren sie die Hostnamenauflösung für alle Subnetze, indem Sie entweder:
- Verwenden einer Azure DNS-Zone und Deaktivieren der standardmäßigen hostdateibasierten Auflösung
- Oder legen Sie das
CycleCloud.hosts.standalone_dns.subnetsAttribut entweder auf CIDR-Bereich des VNet oder eine durch Trennzeichen getrennte Liste von CIDR-Bereichen für jedes Subnetz fest. Ausführliche Informationen finden Sie in der Knotenkonfigurationsreferenz .
Netzwerksicherheitsgruppeneinstellungen für das CycleCloud-Subnetz
Das Konfigurieren Ihrer Azure-Virtual Network für Sicherheit ist ein breites Thema, das weit über den Umfang dieses Dokuments hinausgeht.
CycleCloud- und CycleCloud-Cluster können in sehr gesperrten Umgebungen funktionieren. Weitere Informationen finden Sie unter "Ausführen in gesperrten Netzwerken " und "Hinter einem Proxy" für Konfigurationsdetails.
Für weniger restriktive Netzwerke gibt es jedoch einige allgemeine Richtlinien. Zuerst erfordern CycleCloud-GUI-Benutzer Zugriff auf die CycleCloud-VM über HTTPS und Administratoren können SSH-Zugriff erfordern. Clusterbenutzer erfordern im Allgemeinen SSH-Zugriff auf mindestens die Übermittlungsknoten in den Computeclustern und potenziell anderen Zugriff wie RDP für Windows-Cluster. Die letzte allgemeine Regel besteht darin, den Zugriff auf das erforderliche Minimum einzuschränken.
Um eine neue Netzwerksicherheitsgruppe für jede der oben erstellten Subnetze zu erstellen, befolgen Sie den Leitfaden zum Erstellen einer Netzwerksicherheitsgruppe.
Eingehende Sicherheitsregeln
Wichtig
In den folgenden Regeln wird davon ausgegangen, dass Ihr virtuelles Netzwerk mit Express Route oder VPN für den privaten Netzwerkzugriff konfiguriert ist. Wenn sie über das öffentliche Internet ausgeführt werden, sollte die Quelle in Ihre öffentliche IP-Adresse oder ihren Unternehmens-IP-Bereich geändert werden.
CycleCloud VM Subnetz
| Name | Priorität | `Source` | Dienst | Protocol | Portbereich |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Benutzerdefiniert | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | Benutzerdefiniert | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | Benutzerdefiniert | TCP | 9443 |
Compute Subnets
| Name | Priorität | `Source` | Dienst | Protocol | Portbereich |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Benutzerdefiniert | TCP | 22 |
| RDP | 110 | VirtualNetwork | Benutzerdefiniert | TCP | 3389 |
| Ganglia | 120 | VirtualNetwork | Benutzerdefiniert | TCP | 8652 |
Sicherheitsregeln bei ausgehendem Datenverkehr
Im Allgemeinen erwarten die CycleCloud-VM und die Computecluster, dass sie für Paketinstallations- und Azure REST-API-Aufrufe auf das Internet zugreifen können.
Wenn der ausgehende Internetzugriff durch die Sicherheitsrichtlinie blockiert wird, befolgen Sie die Anweisungen zum Ausführen in gesperrten Netzwerken und Ausführen hinter einem Proxy für Konfigurationsdetails.